Interdire access lecteur cd/dvd et USB sur un domaine windows2008 R2

[Moimemeici]

Bonjour,

est il possible d'interdire l'accès à certains utilisateurs au lecteur DVD et aux ports USB sous Windows7 sur un domaine w2008r2

cordialement,

Moimeme

[Jul77]

L’exécution automatique oui mais l'utilisation ...

[TheMartel]

faut se pencher sur; pas de détection/installation automatique des périphériques+pas d’exécution automatique+ restriction des accès aux différents gestionnaires (genre gestionnaire des tache, gestion de l'ordinateur, et bien sur tout ce qui est droit admin/regedit/cmd pourquoi pas)

[Fungraphic]

ou alors désactiver dans le bios et mettre un mot de pass bios lol

[yullito]

Bonjour,

est il possible d'interdire l'accès à certains utilisateurs au lecteur DVD et aux ports USB sous Windows7 sur un domaine w2008r2

cordialement,

Moimeme

ouaip ,si tu es dans un domaine Active Directory , tu peux utiliser les GPO de windows pour ça

[kalistyan]

+1

[Moimemeici]

un petit tuto ?

[Jul77]

bah ouai google

[nantais]

tiens les gars un peu d'aide pour mon estimation?

merci
http://smpfr.mesdiscussions.net/smpfr/A ... _2.htm#bas

[kalistyan]

@Moimemeici T'en sort ?

[yullito]

un petit tuto ?

je pense que ceci peut t'aider : http://www.labo-microsoft.org/whitepapers/27029/

sinon tu devrais trouver des infos sur le technet de 'Crosoft . Ou directement en tapant " GPO windows 2008 how to" ou quelque chose dans le genre dans Google .

[Moimemeici]

@Moimemeici T'en sort ?

Pas franchement, mais je suis entrain de lire le fichier doc de yullito (merci)

[Moimemeici]

comment fait on pour ajouter un ADM au fichier Template?

[kalistyan]

[Moimemeici]

Comment attribué ce modèle aux utilisateur ?

petit précision, je ne suis pas un admin réseau, j’essaie juste de comprendre le mécanisme pour l'appliquer ...

(et peu habitué a l'environnement Windows)

[yullito]

salut

alors : quelques pré-requis

Pour pouvoir implémenter les stratégies de groupe , il te faut :
- un domaine Active directory avec un contrôleur de domaine en 2003 , 2008 ou 2012 comme tu le souhaites .
- une fois ton domaine monté , tu vas avoir une console de management ( MMC ) qui s'appelle "utilisateurs et ordinateurs active directory" : c'est la console qui te permet de créer/gérer les différentes Unité d'Organisation ( OU ) de ton domaine

Pour créer et affecter des stratégies de groupe à des users ou des ordinateurs , tu vas devoir utiliser la MMC qui s'appelle " Gestion des Stratégies de Groupe"
c'est à partir de la que tu vas créer les "modèles / stratégies" que tu vas affecter à des OU utilisateurs ou a des OU ordinateurs
En gros , c'est sensiblement la meme vue que la MMC " utilisateurs et ordinateurs active directory" avec quelques trucs en plus ( la partie stratégies de groupes "

Toute console de Management se lance des façons suivantes :
- soit tu connais directement le "raccourci" windows du genre certmgr.msc pour la console de gestion des certificats
- soit tu fais "démarrer" / "exécuter" puis MMC
dans la fenêtre qui s'ouvre : tu fais "fichier" / "ajouter un composant logiciel enfichable" puis tu sélectionnes le composant que tu souhaite manager .

En espérant que ça t’éclaircisse le brouillard

[kalistyan]

Je rajouterais :

1- Tout vos clients DNS (même les serveurs) pointent bien sur le DNS de votre domaine et non celui de votre FAI
2- Votre suffixe DNS est le nom DNS de votre domaine sur tout les postes appartenant ou devant appartenir au domaine
3- Que votre(vos) serveurs DNS pointent sur eux même avec comme ip autre chose que 127.0.0.1
4- Si votre nom de domaine DNS ne contient pas de Point "." regardez cet article Ms http://support.microsoft.com/default.aspx?kbid=300684
5- Que vos zones ait les mises à jour dynamiques activées (facultatif si vous connaissez bien les enregistrement DNS AD ce dont je doute si vous êtes en train de lire ça) ainsi vos aurez dans votre zone DNS de domaine des "répertoires" _msdcs par exemple (indispensable)
(6)- Qu'une zone de recherches inverse soit créé et qu'elle possède les enregistrements PTR correspondant à votre serveur DNS et DC (facultatif)
(7)- Que les redirecteur de vos DNS pointent soit vers les serveur Root d'internet ou les DNS de votre FAI (Facultaif sauf en cas d'accès Internet)
Source => forum-microsoft.org/

[micha30000]

Tout ce qui est GPO ou modif registre est facilement contournable. Tu peux utiliser des logiciels spécialisés (payants), comme Stormshield ou Symantec endpoint protection

[dsebire]

Tout ce qui est GPO ou modif registre est facilement contournable.

osef, ça se réapplique toute les 90mn (sauf si ya un petit malin qui désactive les moteurs d'application de GPO)
pour le commun des mortels, ça suffit amplement.
pour les autres, faut pas leur donner les droits d'admins et il repassent dans le premier cas !

[Moimemeici]

Ok merci les "Amichs" !

[yullito]

Tout ce qui est GPO ou modif registre est facilement contournable. Tu peux utiliser des logiciels spécialisés (payants), comme Stormshield ou Symantec endpoint protection

est ce que tu pourrais développer stp Micha , ça m’intéresse d'avoir ton explication ... même si je suis du même avis que dsebire

[dsebire]

bah j'ai dit comment faire dans mon post.
suffit (en admin of course) de désactiver les moteurs d'application de GPO

[micha30000]

Ca se réapplique toutes les 90 minutes si t'as le câble connecté. Tu débranches le câble éthernet et t'es libre sur ton PC. Trouver un mdp admin c'est facile, donc tu récupères ce que tu veux. Si c'est pour faire de la sécurité des données, une GPO c'est insuffisant. Si c'est pour interdire à Mme Michu de mettre ses films sur l'ordi, ça suffira.

[kalistyan]

Sans câble tu ne fais pu grand chose... Puis trouver le MDP admin n'est pas si facile.

[micha30000]

C'est pour ça que ça dépend du domaine d'application. Pour ma part dans ma société, R&D sur du bancaire, on utilisait un logiciel qui s'implantait dans le noyau Windows. Si t'essayais de le trafiquer, tu plantais la machine. Machine, qui de toute façon était virtuelle dans la salle serveur, et localisée sur un autre réseau auquel tu accédais via client léger par un protocole déterminé à travers un parefeu et divers autres contrôles.

Sans câble, t'as toujours les données sur l'ordinateur. Selon à quoi tu as accès, tu peux copier les data localement tant que tu as le câble, puis redémarrer sans câble, planter les GPO et/ou changer le mot de passe admin, et récupérer les data préalablement copiées localement.

PS: changer le mdp admin, 5 minutes montre en main